SOS VIRUS MSN DESACTIVO ADMINISTRADOR DE TAREAS(SOLUCIONADO)

[QUIQUECAAB]

Hola es la primera vez que entro a esta pagina se instalo seguro un virus en mi pc desde el msn y me bloqueo el administrador de tareas tambien la funcion ejecutar y no me deja examinar la maquina con el antivirus. El virus me parece que se llam un nombre delante y despues decia jajaja.

Me podrian decir como saco el virus y disculpen si no es el lugar correcto gracias a todos que me puedan ayudar

[msc hotline sat]

Lo de jajaja ha ayudado mucho.



Tenemos dos temas al respecto, que ayer analizamos y solucionamos con el ELISTARA 16.90


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 9-09-2008

[QUIQUECAAB]

lo que hice fue lo siguiente como tenia bloqueado el antivirus de la pc hice un examen con los antivirus online hay detecto cuatro virus tres de ellos estaban en los cookies. Despues se desbloqueo el administrador de tareas y pude hacer una busqueda de virus con el antivirus que tengo en la maquina y tambien como dijeron ustedes hice el analisis con el elistara les dejo el txt y espero que no tenga mas virus. El msn lo probe y no mando ningun archivo infectado con el zip llamado jajaja(de gran ayuda este dato).

En el menu inicio a mi no me aparece la funcion ejecutar esta bien o tendria que a parecer gracias por la ayuda.

[Claudia34]

Pues no veo el informe del elistara, hay que pegar el informe aqui. Y si realizaste en algun momento el escaneo con el antivirus online kaspersky tambien debes pegarnos el informe aqui.



Saludos.

[QUIQUECAAB]

les dejo el informe de elistara gracias por su atencion el antivirus online que uutilce fue el trend micro pero desgraciadamente no copie el informe disculpa

[QUIQUECAAB]

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Sep 10 15:50:17 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7863

Nº Total de Ficheros: 61131

Nº de Ficheros Analizados: 18267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Sep 10 16:18:10 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7866

Nº Total de Ficheros: 61153

Nº de Ficheros Analizados: 18267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Creo que aun estas a medio camino de haberlo solucionado, peganos log de sprocess y veamos que hay en el pc, saludos





http://www.zonavirus.com/descargas/sproces.asp

[msc hotline sat]

Y a continuacion, lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





Pero antes posteanos el SPROCLOC.TXT que te indica lucl, asi mientras lo analizamos, vas escaneando con el ONLINE :wink:



saludos



ms, 11-09-2008

[swwpp]

como identifico un virus de msn??

[swwpp]

como identifico un virus de msn??

[lucl]

Hoy os ha dado a todos por escribir en temas de otros foreros??? En fin, abrete un nuevo post y pasa elistara y peganos el log que te dejara en C infosat.txt en tu tema claro esta, saludos





http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

lucl, al respecto tienes copia de un un privado para ADMIN...



y QUIQUECAAB, cuando nos postees el informe solicitado, seguiremos.



saludos



ms,. 12-09-2008

[Claudia34]

Te falta tambien un parche del año 2006, realiza un windows update lo antes posible.



Saludos.

[msc hotline sat]

A los 14 de la misma IP:



Ante el registro de 14 nicks desde la misma IP y el posteo atipico de los mismos, se bloquean pasando a dejar solo uno, el de melody rivera, por si sois de una aula o colectivo al respecto, pero usad un solo nick y postead en un solo Tema, y solo cuando se haya cerrado el mismo, podeis abrir otro, de lo contrario se baneará dicha IP

[QUIQUECAAB]

les dejo el informe del SPROCTLOG Y DESPUES QUE LO HAGAGA LES DEJO EL OTRO GRACIAS





Mon Sep 15 16:16:57 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows 2000 (v5.0.2195) Service Pack 4

Internet Explorer: (v6.0.2800.1106) ;SP1;Q833989;



Procesos Activos:

C:\WINNT\SYSTEM32\SMSS.EXE

C:\WINNT\SYSTEM32\WINLOGON.EXE

C:\WINNT\SYSTEM32\SERVICES.EXE

C:\WINNT\SYSTEM32\LSASS.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\SPOOLSV.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT SQL SERVER\MSSQL\BINN\SQLSERVR.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE

C:\WINNT\SYSTEM32\REGSVC.EXE

C:\WINNT\SYSTEM32\MSTASK.EXE

C:\WINNT\SYSTEM32\WBEM\WINMGMT.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\SYSTEM32\SVCHOST.EXE

C:\WINNT\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\WINNT\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm (file missing)

O16 - DPF: DirectAnimation Java Classes - file://C:\WINNT\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINNT\Java\classes\xmldso.cab

O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} - http://codecs.microsoft.com/codecs/i386/msaudio.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {3334504D-9980-0010-8000-00AA00389B71} - http://download.microsoft.com/download/0/C/8/0C8EDFAB-30BC-4792-898E-2DABE27B2C4D/mp43dmo.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214782597913

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\msitss.dll

O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\archiv~1\archiv~1\sapsha~1\system\saphtmlp.dll

O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\archiv~1\archiv~1\sapsha~1\system\saphtmlp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WZCNOTIF - WZCDLG.DLL

O21 - SSODL: Network.ConnectionTray - {7007ACCF-3202-11D1-AAD2-00805FC1270E} - C:\WINNT\system32\NETSHELL.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AMON - Eset - C:\WINNT\system32\drivers\amon.sys

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINNT\system32\svchost -k rpcss (file missing)

O23 - Service: tmcomm - Trend Micro Inc. - C:\WINNT\system32\drivers\tmcomm.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: C-Media PCI Audio Driver (WDM) (cmpci) - C-Media Inc - C:\WINNT\SYSTEM32\drivers\cmaudio.sys

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINNT\SYSTEM32\drivers\cmuda.sys

O23 - Service: C-Media High Definition Audio Interface (cmudax) - Unknown owner - C:\WINNT\SYSTEM32\drivers\cmudax.sys (file missing)

O23 - Service: CNet PRO200 PCI Fast Ethernet NT Driver (DM9102) - DAVICOM Semiconductor, Inc. - C:\WINNT\SYSTEM32\DRIVERS\DM9PCI5.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Intel EtherExpress(TM) PRO/10 (EPRO) - Intel Corporation - C:\WINNT\SYSTEM32\DRIVERS\epro4.sys

O23 - Service: Intel EtherExpress 10 ISA (EX10) - Intel Corporation - C:\WINNT\SYSTEM32\DRIVERS\ex10.sys

O23 - Service: Controlador de Windows NT del adaptador IBM EtherJet/Crystal (ibmeimp) - IBM - C:\WINNT\SYSTEM32\DRIVERS\ibmeimp.sys

O23 - Service: Padus ASPI Shell (pfc) - Padus, Inc. - C:\WINNT\SYSTEM32\drivers\pfc.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINNT\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: W2K Pctel Serial Device Driver (Ptserial) - PCTEL, INC. - C:\WINNT\SYSTEM32\DRIVERS\ptserial.sys

O23 - Service: Secdrv - Unknown owner - C:\WINNT\system32\drivers\SECDRV.SYS

O23 - Service: SiS300 - Silicon Integrated Systems Corporation - C:\WINNT\SYSTEM32\DRIVERS\sis300p.sys

O23 - Service: SiS630 - Silicon Integrated Systems Corporation - C:\WINNT\SYSTEM32\DRIVERS\sis630p.sys

O23 - Service: Service for AC'97 Sample Driver (WDM) (SiS7012) - Silicon Integrated Systems Corporation - C:\WINNT\SYSTEM32\drivers\sis7012.sys

O23 - Service: SiS PCI Fast Ethernet Adapter Driver (SISNIC) - SiS Corporation - C:\WINNT\SYSTEM32\DRIVERS\sisnic.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - VERITAS Software Corp. - C:\WINNT\SYSTEM32\drivers\dmboot.sys



22 Servicios.

4 de Carga Automatica.

17 de Carga Manual.

1 Deshabilitados.

[lucl]

Recuerda pegarnos log del online , es muy bueno y te detectera cualquier bicho que tengas, saludos

[msc hotline sat]

Pues en el log mas que virus venos demasiados antivirus:



Parece que usas NOD32 y tienes claves de servicios de TREND:



O23 - Service: tmcomm - Trend Micro Inc. - C:\WINNT\system32\drivers\tmcomm.sys



Primero renombra el fichero que lanza esta clave ( tmcomm.sys ) a extension .VIR, y tras reiniciar prueba de eliminar la clave con el ELISERV, entrandole como servicio el tmcomm :



http://www.zonavirus.com/datos/descargas/273/eliservexe.asp





y como que no se ve ningun virus, mejor lanza este AV ONLINE y posteanos el informe resultante:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)



y no postees log de mas ordenadores en este Tema, cuando este se haya terminado y cerrado, abre otro para el que sea, no debe haber logs y analisis de mas de un ordenador por Tema, por ser lioso y facil de equivocarse hablar de mas de uno.



Ahora centremonos en este Tema centremonos en este ordenador , nos posteas el informe y procederemos en consecuencia



saludos



ms, 15-09-2008

[QUIQUECAAB]

les dejo el analisis de kaspersky como habiamos quedado. No pude hacerlo antes espero respuesta gracias,



KASPERSKY ONLINE SCANNER INFORME

viernes, 19 de septiembre de 2008 6:31:11

Sistema operativo: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 18/09/2008

Registros en la base antivirus: 1114610

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

Estadísticas

Número de objeros analizados 67102

Virus encontrados 2

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 08:38:00



Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\ESET\cache\CACHE.NDB Object is locked saltado

C:\Archivos de programa\ESET\cache\FND0.NFI Infectados: Worm.Win32.AutoRun.nlx saltado

C:\Archivos de programa\ESET\infected\IQGRJNBA.NQF Infectados: Trojan-Downloader.Win32.Zlob.vwn saltado

C:\Archivos de programa\ESET\infected\NPYPEZDA.NQF Infectados: Worm.Win32.AutoRun.nlx saltado

C:\Archivos de programa\ESET\logs\virlog.dat Object is locked saltado

C:\Archivos de programa\ESET\logs\warnlog.dat Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\master.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\mastlog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\model.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\modellog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\tempdb.mdf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\Data\templog.ldf Object is locked saltado

C:\Archivos de programa\Microsoft SQL Server\MSSQL\LOG\ERRORLOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\Cache\_CACHE_001_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\Cache\_CACHE_002_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\Cache\_CACHE_003_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\Cache\_CACHE_MAP_ Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\urlclassifier3.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Temp\etilqs_kd6Eg7HxpevrYgXAnId8 Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\cert8.db Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\content-prefs.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\cookies.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\downloads.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\formhistory.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\key3.db Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\parent.lock Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\permissions.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\places.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\places.sqlite-journal Object is locked saltado

C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\637c4cv4.default\search.sqlite Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\WINNT\CSC\00000001 Object is locked saltado

C:\WINNT\Debug\ipsecpa.log Object is locked saltado

C:\WINNT\Debug\oakley.log Object is locked saltado

C:\WINNT\Debug\PASSWD.LOG Object is locked saltado

C:\WINNT\SchedLgU.Txt Object is locked saltado

C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINNT\system32\config\AppEvent.Evt Object is locked saltado

C:\WINNT\system32\config\default Object is locked saltado

C:\WINNT\system32\config\default.LOG Object is locked saltado

C:\WINNT\system32\config\SAM Object is locked saltado

C:\WINNT\system32\config\SAM.LOG Object is locked saltado

C:\WINNT\system32\config\SecEvent.Evt Object is locked saltado

C:\WINNT\system32\config\SECURITY Object is locked saltado

C:\WINNT\system32\config\SECURITY.LOG Object is locked saltado

C:\WINNT\system32\config\software Object is locked saltado

C:\WINNT\system32\config\software.LOG Object is locked saltado

C:\WINNT\system32\config\SysEvent.Evt Object is locked saltado

C:\WINNT\system32\config\system Object is locked saltado

C:\WINNT\system32\config\SYSTEM.ALT Object is locked saltado

C:\WINNT\system32\Perflib_Perfdata_23c.dat Object is locked saltado

C:\WINNT\WindowsUpdate.log Object is locked saltado

Análisis completado.

[lucl]

Busca estos archivos y renombralos a .VIR y envianoslos para analizarlos





C:\Archivos de programa\ESET\cache\FND0.NFI

C:\Archivos de programa\ESET\infected\IQGRJNBA.NQF

C:\Archivos de programa\ESET\infected\NPYPEZDA.NQF





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[msc hotline sat]

Vemos que los ficheros indicados ya no están operativos, pues NOD32 los ha puesto en cuarentena:



C:\Archivos de programa\ESET\cache\FND0.NFI Infectados: Worm.Win32.AutoRun.nlx saltado

C:\Archivos de programa\ESET\infected\IQGRJNBA.NQF Infectados: Trojan-Downloader.Win32.Zlob.vwn saltado

C:\Archivos de programa\ESET\infected\NPYPEZDA.NQF Infectados: Worm.Win32.AutoRun.nlx saltado



y cifrado en XOR con A5 y cambiada la extension, asi que están aparcados, quietecitos ellos :wink:



El lunes monitorizaremos dichas muestras e implementaremos el control y eliminacion de sus originales en nuestras utilidades, pero ya que al parecer son de los que se transmiten por pendrive, vacuna tu ordenador y pendrives con el ELIPEN:






[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



SALUDOS



MS, 20-09-2008

[QUIQUECAAB]

les envio el infosat pero el elipen no lee el pen driver.GRACIAS ME PUEDEN DECIR EN TODO CASO COMO HACERLO.



Wed Sep 10 14:00:19 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminada Carpeta "%Archivos de Programa%\NetProject"

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Sep 10 14:24:37 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Sep 10 15:49:54 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Sep 10 15:50:17 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7863

Nº Total de Ficheros: 61131

Nº de Ficheros Analizados: 18267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Sep 10 16:18:10 2008

EliStartPage v16.91 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 7866

Nº Total de Ficheros: 61153

Nº de Ficheros Analizados: 18267

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Wed Sep 24 17:40:17 2008

EliServicios v1.0 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------------

Servicio Eliminado.

O23 - Service: tmcomm (tmcomm) - \??\C:\WINNT\system32\drivers\tmcomm.sys



Wed Sep 24 18:36:55 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Unidad C:\ YA esta Protegida



Wed Sep 24 18:38:26 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ NO Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Wed Sep 24 18:39:44 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad E:\ NO Protegida



Wed Sep 24 18:40:41 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad E:\ NO Protegida



Wed Sep 24 18:42:32 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad D:\ No se Pudo Proteger



Unidad E:\ NO Protegida



Unidad E:\ NO Protegida

[msc hotline sat]

Vemos que está queriendo procesar la unidad D:...



Estás seguro que esto no es la unidad de CD ???



Vea de acceder desde MIPC al pendrive para saber en qué unidad está asignado, y procese la que contenga ficheros correspondientes al pendrive, en las de CD evidentemente no va a poder !



saludos



ms, 25-09-2008

[QUIQUECAAB]

EL PENDRIVER CORRESPONDE A LA UNIDAD E PERO HAY UN ERROR DEL AUTORUN Y ES UN AREA QUE NO ESTA PROTEGIDA gracias

[msc hotline sat]

Mientras sea voluntario...



Ya ves que la configuracion del ELIPEN puede modificarse a gusto del usuario (CUANDO PULSAS SALIR)



Y dinos si con todo lo hecho, tras reinciiar persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 26-09-2008

[QUIQUECAAB]

MUCHAS GRACIAS POR LA AYUDA PIENSO QUE SE PUEDE DAR POR TERMINADO EL TEMA AUNQUE AHORA TENGO PROBLEMAS CON EL .NET Framework DONDE PODRIA POSTEARLO ASI SE SOLUCIONA ESTE GRACIAS QUIQUECAAB

[msc hotline sat]

Lo relativo a problema con el software puedes postearlo en el apartado al respecto:



https://foros.zonavirus.com/foro-software-f2.html



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 14-10-2008